Unsere Anwendungssuite umfasst eine Beschaffungsplattform, die Bestellungen per FTP an Dutzende von Anbietern übermittelt. Bisher wurde diese Anwendung auf einem Server ausgeführt, sodass diese FTP-Übertragungen von einer einzigen IP-Adresse stammten. Im Laufe der Jahre haben viele Anbieter diese eine IP-Adresse in ihren internen Netzwerken auf die Whitelist gesetzt. Unsere Infrastruktur wächst und wir müssen diesen Aspekt unserer Anwendung auf mehr als einem Server hosten. Daher würden FTP-Übertragungen von neuen IP-Adressen an diese Anbieter gesendet. Wir befürchten, dass bei diesem Schritt die Übertragungen fehlschlagen, da sie von den Firewalls usw. der Anbieter blockiert werden. Wenn möglich, möchten wir es vermeiden, diese Art von Schritt mit jedem einzelnen Anbieter abzustimmen, da es so viele Anbieter gibt und die Zuverlässigkeit ihrer IT-Ressourcen unterschiedlich ist.
Wir untersuchen derzeit FTP-Proxying, aber ich frage mich, welche anderen Optionen wir haben könnten. Ich bin sicher, dass es andere SaaS-Shops gibt, die auf ähnliche Probleme gestoßen sind, und ich würde gerne hören, wie sie damit umgegangen sind.
Danke!
Antwort1
Wenn Sie Ihre Firewall so einrichten, dass alle Server per NAT auf eine IP-Adresse zugreifen, können Sie die einzige öffentliche IP-Adresse beibehalten, die Dienste jedoch auf mehreren FTP-Servern hosten. Dies erreichen Sie mit einem dynamischen NAT in einem Cisco:
access-list DNAT-FTP permit <first ip> <subnet>
access-list DNAT-FTP permit <second ip> <subnet>
access-list DNAT-FTP permit <...> <...>
access-list DNAT-FTP permit <last ip> <subnet>
static (DMZ,outside) <ip to nat to> access-list DNAT-FTP
Antwort2
Ehrlich gesagt würde ich einfach in den sauren Apfel beißen. Sie möchten sich nicht für immer auf Ihren alten Adressraum verlassen.
Beginnen Sie so früh wie möglich mit dem Testen Ihrer Anbieter aus dem neuen Adressraum. Wenn Sie sich für die IP-Whitelist interessieren, sollten Sie nicht viel mehr als eine Anmeldung und eine Verzeichnisliste simulieren müssen.
Kümmern Sie sich um die Anbieter, die die Tests eindeutig nicht bestehen. Informieren Sie die anderen über die Änderung, auch wenn der Test erfolgreich war. Wenn Sie zufrieden sind und alle Tests bestanden wurden, können Sie mit der Neunummerierung fortfahren.
Wir sind selbst ein SaaS-Shop. Der Unterschied besteht jedoch darin, dass wir den PI-Adressraum direkt von den RIRs selbst beziehen und eigentlich keine Prozesse wie die von Ihnen beschriebenen haben.
Es könnte relevant sein, wenn Sie die Beziehung zwischen den Anbietern, Ihren Kunden und Ihnen selbst darlegen. Es könnte beispielsweise etwas schwieriger werden, wenn der Servicevertrag im Auftrag Ihrer Kunden abgeschlossen wird, da diese dann in Ihrem Namen den Änderungswünschen nachgehen müssten. Wenn Sie jedoch professionell klarstellen, dass die Änderungen rechtzeitig abgeschlossen werden müssen, damit Sie den Kunden das erwartete Serviceniveau bieten können, sollte es keine Probleme geben.
Antwort3
Eine mögliche Lösung könnte darin bestehen, Ihren Dienst den Clients über VPN-Tunnel bereitzustellen. Dies würde eine Änderung erfordern, aber sobald Sie den Tunnel implementiert haben, können Sie nach Belieben serverseitige Änderungen vornehmen.
Antwort4
Wenn es sich bei dem Server um Linux handelt, können Sie iptables verwenden, um eine andere externe IP-Adresse als NAT festzulegen.